发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的终端的攻击面的确定方法及相应的终端的攻击面的确定设备。
第一方面,本发明实施例提供了一种终端的攻击面的确定方法,包括:
获取N个终端的查杀记录,所述查杀记录用于记录所述N个终端对恶意样本组的查杀情况,其中,N为正整数;
根据所述查杀记录,确定所述N个终端中每个终端被所述恶意样本组攻击的攻击面,所述攻击面用于表征所述恶意样本组对所述终端的威胁程度。
可选的,所述根据所述查杀记录,确定所述N个终端中每个终端被所述恶意样本组攻击的攻击面,具体包括:根据所述查杀记录,确定所述N个终端中每个终端对所述恶意样本组的查杀次数,共N个查杀次数;根据所述N个查杀次数,确定所述每个终端被所述恶意样本组攻击的攻击面,所述攻击面与所述查杀次数成正比。
可选的,所述根据所述查杀记录,确定所述N个终端中每个终端被所述恶意样本组攻击的攻击面,具体包括:根据所述查杀记录,确定所述恶意样本组中第一恶意样本的被查杀次数及所述第一恶意样本每次被查杀时所对应的被查杀时间和对应的查杀终端,所述查杀终端为查杀所述第一恶意样本的终端;根据所述被查杀次数和所述被查杀时间,确定所述第一恶意样本的活跃度;根据所述被查杀次数和所述查杀终端,确定所述每个终端对所述第一恶意样本的活跃度的贡献值;根据所述活跃度和所述贡献值,确定所述每个终端被所述第一恶意样本攻击的攻击面;累加所述每个终端被所述恶意样本组中每个恶意样本攻击的攻击面,获得所述每个终端被所述恶意样本组攻击的攻击面。
可选的,所述根据所述被查杀次数和所述被查杀时间,确定所述第一恶意样本的活跃度,具体包括:根据所述被查杀次数和所述被查杀时间,在第一时间区间内进行取样,并将所述第一时间区间分为M个时间段,以获得所述M个时间段中每个时间段内查杀所述第一恶意样本的查杀次数,共M个查杀次数,其中,M为正整数;按预设的权重值累加所述M个查杀次数,获得所述第一恶意样本的活跃度。
可选的,所述将所述第一时间区间分为M个时间段,具体为:将所述第一时间区间分为M个时间段,其中,所述时间段的长度与所述时间段距当前时间点的距离成正比。
可选的,所述M个时间段中的任一时间段的长度均为下一时间段的长度的2倍,其中,所述下一时间段与所述任一时间段相连,所述下一时间段距当前时间点的距离小于所述任一时间段距所述当前时间点的距离。
可选的,所述按预设的权重值累加所述M个查杀次数,获得所述第一恶意样本的活跃度,具体为:将预设的M个权重值中的每个权重值与所述M个查杀次数中对应的一个查杀次数相乘,获得M个乘积值,其中,所述权重值的大小与对应的时间段距当前时间点的距离成反比;将所述M个乘积值相加,获得所述第一恶意样本的活跃度。
可选的,所述根据所述活跃度和所述贡献值,确定所述每个终端被所述第一恶意样本攻击的攻击面,具体为:将所述活跃度与预设的辅助系数相乘,获得所述第一恶意样本的威胁值,其中,所述辅助系数与所述第一恶意样本的历史查杀数据相关,其中,所述历史查杀数据为所述第一恶意样本的总查杀次数、攻击的终端的数量和最早查杀时间中的任意一种或多种的组合;根据所述威胁值和所述贡献值,确定所述每个终端被所述第一恶意样本攻击的攻击面。
可选的,所述辅助系数为次数系数、覆盖系数和时间系数的和值,其中,所述次数系数与所述第一恶意样本的总查杀次数相关,所述覆盖系数与所述第一恶意样本攻击的终端的数量相关,所述时间系数与所述第一恶意样本的最早查杀时间相关,其中,所述次数系数、所述覆盖系数和所述时间系数满足预设相关性。
第二方面,本发明实施例提供一种终端的攻击面的确定设备,包括:
获取模块,用于获取N个终端的查杀记录,所述查杀记录用于记录所述N个终端对恶意样本组的查杀情况,其中,N为正整数;
确定模块,用于根据所述查杀记录,确定所述N个终端中每个终端被所述恶意样本组攻击的攻击面,所述攻击面用于表征所述恶意样本组对所述终端的威胁程度。
可选的,所述确定模块,具体包括:第一确定单元,用于根据所述查杀记录,确定所述N个终端中每个终端对所述恶意样本组的查杀次数,共N个查杀次数;第二确定单元,用于根据所述N个查杀次数,确定所述每个终端被所述恶意样本组攻击的攻击面;所述攻击面与所述查杀次数成正比。
可选的,所述确定模块,具体包括:第三确定单元,用于根据所述查杀记录,确定所述恶意样本组中第一恶意样本的被查杀次数及所述第一恶意样本每次被查杀时所对应的被查杀时间和对应的查杀终端;第四确定单元,用于根据所述被查杀次数和所述被查杀时间,确定所述第一恶意样本的活跃度;第五确定单元,用于根据所述被查杀次数和所述查杀终端,确定所述每个终端对所述第一恶意样本的活跃度的贡献值;第六确定单元,用于根据所述活跃度和所述贡献值,确定所述每个终端被所述第一恶意样本攻击的攻击面;累加单元,用于累加所述每个终端被所述恶意样本组中每个恶意样本攻击的攻击面,获得所述每个终端被所述恶意样本组攻击的攻击面。
可选的,所述第四确定单元还用于:根据所述被查杀次数和所述被查杀时间,在第一时间区间内进行取样,并将所述第一时间区间分为M个时间段,以获得所述M个时间段中每个时间段内查杀所述第一恶意样本的查杀次数,共M个查杀次数,其中,M为正整数;按预设的权重值累加所述M个查杀次数,获得所述第一恶意样本的活跃度。
可选的,所述第四确定单元还用于:将所述第一时间区间分为M个时间段,其中,所述时间段的长度与所述时间段距当前时间点的距离成正比。
可选的,所述第四确定单元还用于:将所述第一时间区间分为M个时间段,所述M个时间段中的任一时间段的长度均为下一时间段的长度的2倍,其中,所述下一时间段与所述任一时间段相连,所述下一时间段距当前时间点的距离小于所述任一时间段距所述当前时间点的距离。
可选的,所述第四确定单元还用于:将预设的M个权重值中的每个权重值与所述M个查杀次数中对应的一个查杀次数相乘,获得M个乘积值,其中,所述权重值的大小与对应的时间段距当前时间点的距离成反比;将所述M个乘积值相加,获得所述第一恶意样本的活跃度。
可选的,所述第六确定单元还用于:将所述活跃度与预设的辅助系数相乘,获得所述第一恶意样本的威胁值,其中,所述辅助系数与所述第一恶意样本的历史查杀数据相关,其中,所述历史查杀数据为所述第一恶意样本的总查杀次数、攻击的终端的数量和最早查杀时间中的任意一种或多种的组合;根据所述威胁值和所述贡献值,确定所述每个终端被所述第一恶意样本攻击的攻击面。
可选的,所述辅助系数为次数系数、覆盖系数和时间系数的和值,其中,所述次数系数与所述第一恶意样本的总查杀次数相关,所述覆盖系数与所述第一恶意样本攻击的终端的数量相关,所述时间系数与所述第一恶意样本的最早查杀时间相关,其中,所述次数系数、所述覆盖系数和所述时间系数满足预设相关性。
本申请实施例中提供的技术方案,至少具有如下技术效果或优点:
本申请实施例提供的方法及设备,根据企业内终端的查杀记录,确定企业内每个终端的攻击面,从恶意样本攻击的直接结果,即查杀记录出发,确定出企业内每个终端容易被恶意样本组攻击的威胁程度,从而暴露出企业中最易于被恶意样本攻击的薄弱终端,便于针对薄弱终端采取直接的防御措施,利于制定出更有针对性且符合企业的个性化网络环境的恶意样本防御措施。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
具体实施方式
本申请实施例中的技术方案,总体思路如下:
获取N个终端的查杀记录,所述查杀记录用于记录所述N个终端对恶意样本组的查杀情况,其中,N为正整数;再根据所述查杀记录,确定所述N个终端中每个终端被所述恶意样本组攻击的攻击面,所述攻击面用于表征所述恶意样本组对所述终端的威胁程度。即从恶意样本攻击的直接结果,即查杀记录出发,确定出企业内每个终端容易被恶意样本组攻击的威胁程度,从而暴露出企业中最易于被恶意样本攻击的薄弱终端,便于针对薄弱终端采取直接的防御措施,利于制定出更有针对性且符合企业的个性化网络环境的恶意样本防御措施。
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
第一方面,本发明实施例提供了一种终端的攻击面的确定方法,请参考图1,所述方法包括:
步骤S101,获取N个终端的查杀记录,所述查杀记录用于记录所述N个终端对恶意样本组的查杀情况,其中,N为正整数;
步骤S102,根据所述查杀记录,确定所述N个终端中每个终端被所述恶意样本组攻击的攻击面,所述攻击面用于表征所述恶意样本组对所述终端的威胁程度。
举例来说,所述方法可以应用于具有计算功能的电子设备,该电子设备例如为:笔记本电脑、一体机或平板电脑等等。
具体来讲,以所述N个终端为一企业内的终端为例:由于企业内每个终端用户的使用习惯或所从事的业务类型不同,导致该企业内某些终端经常插拔移动设备、经常需要接收邮件、经常登录某些网站或经常从外网下载文件。而这些终端往往容易成为恶意样本的主要攻击对象,也可以说,这些终端的攻击面相对更高,更容易受到恶意样本组的攻击和挑战。故,这些攻击面高的终端更容易成为恶意样本进入企业内网的突破口,本发明提供的方法,从恶意样本组攻击导致的直接查杀结果入手,确定出每个终端的攻击面,使得维护人员能快速的获知企业的N个终端中哪些是攻击面大的薄弱终端,从而便于针对薄弱终端采取直接的防御措施,利于制定出更有针对性且符合企业的个性化网络环境的恶意样本防御措施,从根本上提高企业对恶意样本的防御能力。
下面,结合图1对本申请提供的终端的攻击面的确定方法进行详细介绍:
首先,执行步骤S101,获取N个终端的查杀记录,所述查杀记录用于记录所述N个终端对恶意样本组的查杀情况,其中,N为正整数;
需要说明的是,所述终端可以为笔记本电脑、一体机、平板电脑或智能手机等等,本发明对此并没有限制。
具体来讲,为了防止病毒等恶意样本入侵,大多终端上都安装有病毒查杀软件,在恶意样本攻击该终端时,终端会查杀所述恶意样本,并生成和保存查杀记录,所述查杀记录中至少包括以下一种信息或多种信息的组合:查杀的恶意样本的名称、查杀时间、查杀的恶意样本的类型、查杀的恶意样本的来源和查杀该恶意样本的终端的标识等信息。
对于所述获取N个终端的查杀记录的方法,可以有多种实现策略:例如,可以是通过与所述N个终端连接的服务器或云服务器等电子设备实时的采集获取所述N个终端的查杀记录并汇总;也可以是由所述N个终端在所述查杀记录发生变化时,将变化后的查杀记录发送给所述电子设备;当然,也可以是所述电子设备按照预设的时间间隔采集获取所述N个终端的查杀记录;或者所述N个终端按照预设的时间间隔将各自的查杀记录发送给电子设备,本发明对此并没有限制。
接下来,执行步骤S102,根据所述查杀记录,确定所述N个终端中每个终端被所述恶意样本组攻击的攻击面,所述攻击面用于表征所述恶意样本组对所述终端的威胁程度。
在具体实施过程中,确定所述N个终端中每个终端被所述恶意样本组攻击的攻击面可以有多种确定策略,下面列举三种为例:
第一种,根据查杀次数确定攻击面。
即所述根据所述查杀记录,确定所述N个终端中每个终端被所述恶意样本组攻击的攻击面,具体包括:
根据所述查杀记录,确定所述N个终端中每个终端对所述恶意样本组的查杀次数,共N个查杀次数;
根据所述N个查杀次数,确定所述每个终端被所述恶意样本组攻击的攻击面,所述攻击面与所述查杀次数成正比。
具体来讲,由于终端查杀恶意样本组的次数的多少,即终端被恶意样本组攻击的次数的多少,能从一定程度上代表所述恶意样本组对该终端的威胁程度,即可以简化认为终端被恶意样本的攻击次数越多,则该终端对应的攻击面就越大。
以N=3为例,假设终端A,终端B和终端C的查杀记录里共记录了90次对所述恶意样本组的查杀,根据查杀记录中对查杀所述恶意样本组的终端的标识的记录,可以分别确定出终端A查杀了70次,终端B查杀了15次,终端C查杀了5次。进而可以确定出终端A的攻击面为a,终端B的攻击面为b,终端C的攻击面为c,其中,a:b:c=70:15:5,可见,终端A的攻击面最大,最容易成为恶意样本攻击企业终端的突破口,故维护人员可以针对终端A采取安全措施,比如,查封终端A的移动设备接口或改变终端A的上网权限等,从而快速降低恶意样本入侵风险。
第二种,根据恶意样本活跃度及终端对活跃度的贡献值确定攻击面。
即所述根据所述查杀记录,确定所述N个终端中每个终端被所述恶意样本组攻击的攻击面,具体包括:
根据所述查杀记录,确定所述恶意样本组中第一恶意样本的被查杀次数及所述第一恶意样本每次被查杀时所对应的被查杀时间和对应的查杀终端,所述查杀终端为查杀所述第一恶意样本的终端;
根据所述被查杀次数和所述被查杀时间,确定所述第一恶意样本的活跃度;
根据所述被查杀次数和所述查杀终端,确定所述每个终端对所述第一恶意样本的活跃度的贡献值;
根据所述活跃度和所述贡献值,确定所述每个终端被所述第一恶意样本攻击的攻击面;
累加所述每个终端被所述恶意样本组中每个恶意样本攻击的攻击面,获得所述每个终端被所述恶意样本组攻击的攻击面。
具体来讲,考虑到恶意样本组中的恶意样本有些当前正处于活跃期,在终端中正频繁的被查杀到;而有些曾经活跃过,但当前已经销声匿迹,近期都没有再攻击所述N个终端,故,本申请实施例中可以将恶意样本当前的活跃度作为攻击面的确定因数之一,以使终端的攻击面数据更具实时性,更能代表所述恶意样本组对该终端的当前的威胁程度。
在本申请实施例中,所述活跃度用于表征恶意样本在当前的活跃程度,其确定方法可以有多种,例如,可以仅根据恶意样本在近段时间内的被查杀次数确定该恶意样本的活跃度,还可以分时间段确定恶意样本的被查杀次数,再按时间先后顺序对被所述查杀次数进行权重优化来获得该恶意样本的活跃度。下面主要介绍分时间段来确定活跃度的方法,其具体步骤为:
首先,根据所述被查杀次数和所述被查杀时间,在第一时间区间内进行取样,并将所述第一时间区间分为M个时间段,以获得所述M个时间段中每个时间段内查杀所述第一恶意样本的查杀次数,共M个查杀次数,其中,M为正整数;
然后,按预设的权重值累加所述M个查杀次数,获得所述第一恶意样本的活跃度。
需要说明的是,根据维护人员的具体需求,所述第一时间区间可以取当前时间起往前至一年前的时间段,也可以取当前时间起往前至两年前的时间段。如果维护人员需要获知之前某个时间点的攻击面情况,还可以设置所述第一时间段为已经经历过的某个时间段,本发明对此并没有限制。
进一步,将所述第一时间区间分为M个时间段的方法也可以有多种,下面列举A和B两种为例:
A、将所述第一时间区间均分为M个时间段。
例如:请参考图2,取所述第一时间区间为半年,按照月份为周期,将所述第一时间区间分为均6个时间段,每个时间段为一个月时长。
当然,也可以根据需要,按照周、天或小时为度量单位来均分所述第一时间区间,本发明对此并没有限制。
B、按照时间段距当前时间的距离,将所述第一时间区间分为M个时间段。
具体来讲,为使得实现在越接近所述当前时间点时,取样越频繁,取样数据越具实时性,可以设置距当前时间点越近的时间段,长度越短,即可以将所述第一时间区间分为M个时间段,其中,所述时间段的长度与所述时间段距当前时间点的距离成正比。
举例来说,可以按一定的预设时长来依次缩短时间段的长度。例如,取所述第一时间区间为240天,以2天为预设的需缩短时长,以离当前时间点最远的所述时间段为30天起,沿靠近所述当前时间点的方向依次取时间段为:30天、38天、36天、34天、32天……6天、4天和2天。
另外,也可以按预设比例来依次缩短时间段的长度。请参考图3,可以设置所述M个时间段中的任一时间段的长度均为下一时间段的长度的2倍,其中,所述下一时间段与所述任一时间段相连,所述下一时间段距所述当前时间点的距离小于所述任一时间段距所述当前时间点的距离。例如,如图3所示,取所述第一时间区间为t,以离当前时间点(横轴的0值处)最远的所述时间段为0.5t起,沿靠近所述当前时间点的方向依次取时间段为:0.5t、0.25t、0.125t……,其中,t可以为1年、2年或1个月,本发明对此并没有限制。
当然,在具体实施过程中,所述预设比例不仅可以如图3所示为2,也可以为3或4,在此不做限制。
在将所述第一时间区间分为M个时间段后,需要获得所述M个时间段中每个时间段内查杀所述第一恶意样本的查杀次数,即每个时间段内查杀所述第一恶意样本的查杀记录中增加的查杀次数,共M个查杀次数,再按预设的权重值累加所述M个查杀次数,获得所述第一恶意样本的活跃度。
进一步,所述按预设的权重值累加所述M个查杀次数可以有多种累加方法,下面列举A和B两种为例:
A、将预设的M个权重值中的每个权重值与所述M个查杀次数中对应的一个查杀次数相乘,获得M个乘积值,其中,所述权重值的大小与对应的时间段距当前时间点的距离成反比;再将所述M个乘积值相加,获得所述第一恶意样本的活跃度。
例如,如图3所示,所述M个查杀次数按对应的时间段先后顺序依次为:h1、h2、h3……,对应的权重值依次为:m1、m2、m3……,则所述第一恶意样本的活跃度active可以为:active=(m1*h1+m2*h2+m3*h3…),其中,m1、m2、m3……的取值依次递增,具体的取值可以根据经验值确定。
B、将所述M个查杀次数按预设的M个权重值分别求幂,获得M个幂值,其中,所述权重值的大小与对应的时间段距当前时间点的距离成反比;再将所述M个幂值相加,获得所述第一恶意样本的活跃度。
例如,请继续参考图3,所述M个查杀次数按对应的时间段先后顺序依次为:h1、h2、h3……,对应的权重值依次为:m1、m2、m3……,则所述第一恶意样本的活跃度active可以为:active=(h1^m1+h2^m2+h3^m3…),其中,m1、m2、m3……的取值依次递增,具体的取值可以根据经验值确定。
当然,在具体实施过程中,所述按预设的权重值累加所述M个查杀次数不限于以上几种累加方法,基于不同的需求可以确定出不同的累加方法,对此本发明实施例不再详细列举,并且不作限制。
在确定了所述活跃度后,还需要确定所述贡献值,下面列举两种确定所述贡献值的策略:
一是,任一终端对第一恶意样本的活跃度的贡献值可以为该终端查杀所述第一恶意样本的次数与所述第一恶意样本的总查杀次数的比值,例如,第一恶意样本共被查杀了x次,其中,第一终端查杀第一恶意样本y次,则第一终端对第一恶意样本的活跃度的贡献值为y/x。
二是,任一终端对第一恶意样本的活跃度的贡献值可以为该恶意样本的终端覆盖量的倒数,例如,第一恶意样本一共被z个终端查杀,则所述z个终端中任一终端对所述第一恶意样本的活跃度的贡献值为1/z。
当然,在具体实施过程中,所述贡献值的确定方法不限于以上几种,基于不同的需求可以设置不同的贡献值确定方法,对此本发明实施例不再详细列举,并且不作限制。
在确定了所述活跃度和所述贡献值后,就可以确定所述每个终端被所述第一恶意样本攻击的攻击面,下面列举两种根据所述活跃度和所述贡献值,确定所述攻击面的策略:
一是,以所述活跃度和所述贡献值的乘积值作为攻击面,例如,第一终端对第一恶意样本的活跃度active的贡献值为g,则所述第一终端被所述第一恶意样本攻击的攻击面为active*g。
二是,根据所述贡献值对所述活跃度求幂作为攻击面,例如,第一终端对第一恶意样本的活跃度active的贡献值为g,则所述第一终端被所述第一恶意样本攻击的攻击面为active^g。
最后,累加所述每个终端被所述恶意样本组中每个恶意样本攻击的攻击面,即获得所述每个终端被所述恶意样本组攻击的攻击面
第三种,根据恶意样本的威胁值及终端对活跃度的贡献值确定攻击面。
即所述根据所述活跃度和所述贡献值,确定所述每个终端被所述第一恶意样本攻击的攻击面,具体为:
先将所述活跃度与预设的辅助系数相乘,获得所述第一恶意样本的威胁值,其中,所述辅助系数与所述第一恶意样本的历史查杀数据相关,其中,所述历史查杀数据为所述第一恶意样本的总查杀次数、攻击的终端的数量和最早查杀时间中的任意一种或多种的组合;
再根据所述威胁值和所述贡献值,确定所述每个终端被所述第一恶意样本攻击的攻击面。
具体来讲,考虑到恶意样本组中的有些恶意样本,即使当前的活跃度不太高,但其曾经在企业内部大规模爆发,导致严重的后果,故本申请实施例中可以将恶意样本的历史攻击情况也作为攻击面的确定因数之一,用能表征恶意样本的历史查杀情况的辅助系数对该恶意样本的活跃度进行修正后,再用来确定终端的攻击面,以使终端的攻击面数据不仅具有实时性,还兼具有历史性,能够更全面,更准确的表征所述恶意样本组对该终端的当前的威胁程度。
在具体实施过程中,可以认为恶意样本的历史查杀次数和/或该恶意样本攻击的终端的覆盖数量越大时,该恶意样本带来的历史危害越大;还可以认为恶意样本的发现时间离当前时间点越近时,该恶意样本的历史危害越大,故所述辅助系数可以为次数系数、覆盖系数和时间系数中任意一种或多种的和值。其中,所述次数系数与所述第一恶意样本的总查杀次数相关,所述覆盖系数与所述第一恶意样本攻击的终端的数量相关,所述时间系数与所述第一恶意样本的最早查杀时间相关。
进一步,为了更全面的表征恶意样本的历史危害性,可以设置所述辅助系数为所述次数系数n1、所述覆盖系数n2和所述时间系数n3的和值,即所述威胁值Threat=(n1+n2+n3)*active。
在具体实施过程中,所述次数系数、所述覆盖系数和所述时间系数的确定方法有多种,下面列举两种为例:
一是,设置所述第一恶意样本的所述次数系数等于所述第一恶意样本的总查杀次数;所述第一恶意样本的所述覆盖系数等于所述第一恶意样本攻击的终端的数量;所述第一恶意样本的所述时间系数等于所述第一恶意样本的最早查杀时间具当前时间点的时长。
二是,设置所述次数系数、所述覆盖系数和所述时间系数满足预设相关性,其中,所述相关性可以根据经验得出,例如,所述相关性可以为:所述次数系数大于所述覆盖系数;所述次数系数与所述时间系数相关,发现所述恶意样本的时间越久,对应的次数累积量会越多。
基于上述相关性,可以对所述次数系数、所述覆盖系数和所述时间系数进行相关性分析与系数调整,例如,采用下述矩阵形式对所述次数系数n1、所述覆盖系数n2和所述时间系数n3进行调整,得出n1=1,n2=0.711939,n3=-0.563175:
当然,在具体实施过程中,所述次数系数、所述覆盖系数和所述时间系数的确定方法有多种,不限于以上几种确定方法,基于不同的需求可以确定出不同的系数确定方法,对此本发明实施例不再详细列举,并且不作限制。
需要说明的是,由于根据所述威胁值和所述贡献值,确定所述每个终端被所述第一恶意样本攻击的攻击面的方法,与之前描述的根据所述活跃度和所述贡献值,确定所述每个终端被所述第一恶意样本攻击的攻击面的方法相似,只是将所述活跃度优化为所述威胁值,为了说明书的简洁,在此不再累述。
以上是本发明实施例提供的终端的攻击面的确定方法的介绍,此外本发明实施例在第二方面中还提供了终端的攻击面的确定设备。
第二方面,提供了一种终端的攻击面的确定设备,请参考图4,所述设备包括:
获取模块401,用于获取N个终端的查杀记录,所述查杀记录用于记录所述N个终端对恶意样本组的查杀情况,其中,N为正整数;
确定模块402,用于根据所述查杀记录,确定所述N个终端中每个终端被所述恶意样本组攻击的攻击面,所述攻击面用于表征所述恶意样本组对所述终端的威胁程度。
可选的,所述确定模块402,具体包括:第一确定单元,用于根据所述查杀记录,确定所述N个终端中每个终端对所述恶意样本组的查杀次数,共N个查杀次数;第二确定单元,用于根据所述N个查杀次数,确定所述每个终端被所述恶意样本组攻击的攻击面;所述攻击面与所述查杀次数成正比。
可选的,所述确定模块402,具体包括:第三确定单元,用于根据所述查杀记录,确定所述恶意样本组中第一恶意样本的被查杀次数及所述第一恶意样本每次被查杀时所对应的被查杀时间和对应的查杀终端;第四确定单元,用于根据所述被查杀次数和所述被查杀时间,确定所述第一恶意样本的活跃度;第五确定单元,用于根据所述被查杀次数和所述查杀终端,确定所述每个终端对所述第一恶意样本的活跃度的贡献值;第六确定单元,用于根据所述活跃度和所述贡献值,确定所述每个终端被所述第一恶意样本攻击的攻击面;累加单元,用于累加所述每个终端被所述恶意样本组中每个恶意样本攻击的攻击面,获得所述每个终端被所述恶意样本组攻击的攻击面。
可选的,所述第四确定单元还用于:根据所述被查杀次数和所述被查杀时间,在第一时间区间内进行取样,并将所述第一时间区间分为M个时间段,以获得所述M个时间段中每个时间段内查杀所述第一恶意样本的查杀次数,共M个查杀次数,其中,M为正整数;按预设的权重值累加所述M个查杀次数,获得所述第一恶意样本的活跃度。
可选的,所述第四确定单元还用于:将所述第一时间区间分为M个时间段,其中,所述时间段的长度与所述时间段距当前时间点的距离成正比。
可选的,所述第四确定单元还用于:将所述第一时间区间分为M个时间段,所述M个时间段中的任一时间段的长度均为下一时间段的长度的2倍,其中,所述下一时间段与所述任一时间段相连,所述下一时间段距当前时间点的距离小于所述任一时间段距所述当前时间点的距离。
可选的,所述第四确定单元还用于:将预设的M个权重值中的每个权重值与所述M个查杀次数中对应的一个查杀次数相乘,获得M个乘积值,其中,所述权重值的大小与对应的时间段距当前时间点的距离成反比;将所述M个乘积值相加,获得所述第一恶意样本的活跃度。
可选的,所述第六确定单元还用于:将所述活跃度与预设的辅助系数相乘,获得所述第一恶意样本的威胁值,其中,所述辅助系数与所述第一恶意样本的历史查杀数据相关,其中,所述历史查杀数据为所述第一恶意样本的总查杀次数、攻击的终端的数量和最早查杀时间中的任意一种或多种的组合;根据所述威胁值和所述贡献值,确定所述每个终端被所述第一恶意样本攻击的攻击面。
可选的,所述辅助系数为次数系数、覆盖系数和时间系数的和值,其中,所述次数系数与所述第一恶意样本的总查杀次数相关,所述覆盖系数与所述第一恶意样本攻击的终端的数量相关,所述时间系数与所述第一恶意样本的最早查杀时间相关,其中,所述次数系数、所述覆盖系数和所述时间系数满足预设相关性。
由于本发明实施例第二方面所介绍的设备,为实施本发明实施例第一方面的终端的攻击面的确定方法所采用的电子设备,故而基于本发明实施例第一方面所介绍的方法,本领域所属人员能够了解该设备的具体结构及变形,故而在此不再赘述。凡是本发明实施例第一方面的方法所采用的设备都属于本发明所欲保护的范围。
本申请实施例中提供的技术方案,至少具有如下技术效果或优点:
本申请实施例提供的方法及设备,根据企业内终端的查杀记录,确定企业内每个终端的攻击面,从恶意样本攻击的直接结果,即查杀记录出发,确定出企业内每个终端容易被恶意样本组攻击的威胁程度,从而暴露出企业中最易于被恶意样本攻击的薄弱终端,便于针对薄弱终端采取直接的防御措施,利于制定出更有针对性且符合企业的个性化网络环境的恶意样本防御措施。
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的网关、代理服务器、系统中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
A1、一种终端的攻击面的确定方法,包括:
获取N个终端的查杀记录,所述查杀记录用于记录所述N个终端对恶意样本组的查杀情况,其中,N为正整数;
根据所述查杀记录,确定所述N个终端中每个终端被所述恶意样本组攻击的攻击面,所述攻击面用于表征所述恶意样本组对所述终端的威胁程度。
A2、如A1所述的方法,其特征在于,所述根据所述查杀记录,确定所述N个终端中每个终端被所述恶意样本组攻击的攻击面,具体包括:
根据所述查杀记录,确定所述N个终端中每个终端对所述恶意样本组的查杀次数,共N个查杀次数;
根据所述N个查杀次数,确定所述每个终端被所述恶意样本组攻击的攻击面,所述攻击面与所述查杀次数成正比。
A3、如A1所述的方法,其特征在于,所述根据所述查杀记录,确定所述N个终端中每个终端被所述恶意样本组攻击的攻击面,具体包括:
根据所述查杀记录,确定所述恶意样本组中第一恶意样本的被查杀次数及所述第一恶意样本每次被查杀时所对应的被查杀时间和对应的查杀终端,所述查杀终端为查杀所述第一恶意样本的终端;
根据所述被查杀次数和所述被查杀时间,确定所述第一恶意样本的活跃度;
根据所述被查杀次数和所述查杀终端,确定所述每个终端对所述第一恶意样本的活跃度的贡献值;
根据所述活跃度和所述贡献值,确定所述每个终端被所述第一恶意样本攻击的攻击面;
累加所述每个终端被所述恶意样本组中每个恶意样本攻击的攻击面,获得所述每个终端被所述恶意样本组攻击的攻击面。
A4、如A3所述的方法,其特征在于,所述根据所述被查杀次数和所述被查杀时间,确定所述第一恶意样本的活跃度,具体包括:
根据所述被查杀次数和所述被查杀时间,在第一时间区间内进行取样,并将所述第一时间区间分为M个时间段,以获得所述M个时间段中每个时间段内查杀所述第一恶意样本的查杀次数,共M个查杀次数,其中,M为正整数;
按预设的权重值累加所述M个查杀次数,获得所述第一恶意样本的活跃度。
A5、如A4所述的方法,其特征在于,所述将所述第一时间区间分为M个时间段,具体为:
将所述第一时间区间分为M个时间段,其中,所述时间段的长度与所述时间段距当前时间点的距离成正比。
A6、如A4所述的方法,其特征在于,所述M个时间段中的任一时间段的长度均为下一时间段的长度的2倍,其中,所述下一时间段与所述任一时间段相连,所述下一时间段距当前时间点的距离小于所述任一时间段距所述当前时间点的距离。
A7、如A4所述的方法,其特征在于,所述按预设的权重值累加所述M个查杀次数,获得所述第一恶意样本的活跃度,具体为:
将预设的M个权重值中的每个权重值与所述M个查杀次数中对应的一个查杀次数相乘,获得M个乘积值,其中,所述权重值的大小与对应的时间段距当前时间点的距离成反比;
将所述M个乘积值相加,获得所述第一恶意样本的活跃度。
A8、如A3所述的方法,其特征在于,所述根据所述活跃度和所述贡献值,确定所述每个终端被所述第一恶意样本攻击的攻击面,具体为:
将所述活跃度与预设的辅助系数相乘,获得所述第一恶意样本的威胁值,其中,所述辅助系数与所述第一恶意样本的历史查杀数据相关,其中,所述历史查杀数据为所述第一恶意样本的总查杀次数、攻击的终端的数量和最早查杀时间中的任意一种或多种的组合;
根据所述威胁值和所述贡献值,确定所述每个终端被所述第一恶意样本攻击的攻击面。
A9、如A8所述的方法,其特征在于:
所述辅助系数为次数系数、覆盖系数和时间系数的和值,其中,所述次数系数与所述第一恶意样本的总查杀次数相关,所述覆盖系数与所述第一恶意样本攻击的终端的数量相关,所述时间系数与所述第一恶意样本的最早查杀时间相关,其中,所述次数系数、所述覆盖系数和所述时间系数满足预设相关性。
B10、一种终端的攻击面的确定设备,包括:
获取模块,用于获取N个终端的查杀记录,所述查杀记录用于记录所述N个终端对恶意样本组的查杀情况,其中,N为正整数;
确定模块,用于根据所述查杀记录,确定所述N个终端中每个终端被所述恶意样本组攻击的攻击面,所述攻击面用于表征所述恶意样本组对所述终端的威胁程度。
B11、如B10所述的设备,其特征在于,所述确定模块,具体包括:
第一确定单元,用于根据所述查杀记录,确定所述N个终端中每个终端对所述恶意样本组的查杀次数,共N个查杀次数;
第二确定单元,用于根据所述N个查杀次数,确定所述每个终端被所述恶意样本组攻击的攻击面;所述攻击面与所述查杀次数成正比。
B12、如B10所述的设备,其特征在于,所述确定模块,具体包括:
第三确定单元,用于根据所述查杀记录,确定所述恶意样本组中第一恶意样本的被查杀次数及所述第一恶意样本每次被查杀时所对应的被查杀时间和对应的查杀终端;
第四确定单元,用于根据所述被查杀次数和所述被查杀时间,确定所述第一恶意样本的活跃度;
第五确定单元,用于根据所述被查杀次数和所述查杀终端,确定所述每个终端对所述第一恶意样本的活跃度的贡献值;
第六确定单元,用于根据所述活跃度和所述贡献值,确定所述每个终端被所述第一恶意样本攻击的攻击面;
累加单元,用于累加所述每个终端被所述恶意样本组中每个恶意样本攻击的攻击面,获得所述每个终端被所述恶意样本组攻击的攻击面。
B13、如B12所述的设备,其特征在于,所述第四确定单元还用于:
根据所述被查杀次数和所述被查杀时间,在第一时间区间内进行取样,并将所述第一时间区间分为M个时间段,以获得所述M个时间段中每个时间段内查杀所述第一恶意样本的查杀次数,共M个查杀次数,其中,M为正整数;
按预设的权重值累加所述M个查杀次数,获得所述第一恶意样本的活跃度。
B14、如B13所述的设备,其特征在于,所述第四确定单元还用于:
将所述第一时间区间分为M个时间段,其中,所述时间段的长度与所述时间段距当前时间点的距离成正比。
B15、如B13所述的设备,其特征在于,所述第四确定单元还用于:
将所述第一时间区间分为M个时间段,所述M个时间段中的任一时间段的长度均为下一时间段的长度的2倍,其中,所述下一时间段与所述任一时间段相连,所述下一时间段距当前时间点的距离小于所述任一时间段距所述当前时间点的距离。
B16、如B13所述的设备,其特征在于,所述第四确定单元还用于:
将预设的M个权重值中的每个权重值与所述M个查杀次数中对应的一个查杀次数相乘,获得M个乘积值,其中,所述权重值的大小与对应的时间段距当前时间点的距离成反比;
将所述M个乘积值相加,获得所述第一恶意样本的活跃度。
B17、如B12所述的设备,其特征在于,所述第六确定单元还用于:
将所述活跃度与预设的辅助系数相乘,获得所述第一恶意样本的威胁值,其中,所述辅助系数与所述第一恶意样本的历史查杀数据相关,其中,所述历史查杀数据为所述第一恶意样本的总查杀次数、攻击的终端的数量和最早查杀时间中的任意一种或多种的组合;
根据所述威胁值和所述贡献值,确定所述每个终端被所述第一恶意样本攻击的攻击面。
B18、如B17所述的设备,其特征在于:
所述辅助系数为次数系数、覆盖系数和时间系数的和值,其中,所述次数系数与所述第一恶意样本的总查杀次数相关,所述覆盖系数与所述第一恶意样本攻击的终端的数量相关,所述时间系数与所述第一恶意样本的最早查杀时间相关,其中,所述次数系数、所述覆盖系数和所述时间系数满足预设相关性。